Alexey_G Опубликовано 15 июля, 2016 · Жалоба Есть следующая схема: 192.168.17.0/24 - MT1 - VLAN провайдера - MT2 - 10.17.18.64/26 Настройки: MT1: /interface vlan add interface=lacp name=vl-101-lacp vlan-id=101 add interface=lacp name=vl-1480-lacp vlan-id=1480 /ip address add address=192.168.17.254/24 interface=vl-101-lacp network=192.168.17.0 add address=192.168.23.5/30 interface=vl-1480-lacp network=192.168.23.4 add address=192.168.23.9/30 interface=ipip-tun-1 network=192.168.23.8 /interface ipip add !keepalive local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6 /routing ospf instance set [ find default=yes ] metric-other-ospf=30 redistribute-connected=as-type-1 /routing ospf interface add interface=ipip-tun-1 network-type=point-to-point /routing ospf network add area=backbone network=192.168.23.8/30 /ip ipsec peer add address=192.168.23.10/32 secret=111 /ip ipsec policy add dst-address=192.168.23.10/32 sa-dst-address=192.168.23.10 sa-src-address=192.168.23.9 src-address=192.168.23.9/32 MT2: /interface vlan add interface=ether1 name=vl-1480-1 vlan-id=1480 add interface=ether3 name=vl-rpc3-1018 vlan-id=1018 /ip address add address=10.17.18.126/26 interface=vl-rpc3-1018 network=10.17.18.64 add address=192.168.23.6/30 interface=vl-1480-1 network=192.168.23.4 add address=192.168.23.10/30 interface=ipip-tun-1 network=192.168.23.8 /interface ipip add !keepalive local-address=192.168.23.6 name=ipip-tun-1 remote-address=192.168.23.5 /routing ospf instance set [ find default=yes ] redistribute-connected=as-type-1 /routing ospf interface add interface=ipip-tun-1 network-type=point-to-point /routing ospf network add area=backbone network=192.168.23.8/30 /ip ipsec peer add address=192.168.23.9/32 secret=111 /ip ipsec policy add dst-address=192.168.23.9/32 sa-dst-address=192.168.23.9 sa-src-address=192.168.23.10 src-address=192.168.23.10/32 Маршруты в удаленную сеть на MT1: /ip route> pr DST-ADDRESS PREF-SRC GATEWAY DISTANCE ADo 10.17.18.64/26 192.168.23.10 110 Маршруты в удаленную сеть на MT2: /ip route> pr DST-ADDRESS PREF-SRC GATEWAY DISTANCE ADo 192.168.17.0/24 192.168.23.9 110 Теперь ставлю эксперимент, на МТ1: /ip ipsec peer set 0 secret="1" Сети 192.168.17.0/24 - 10.17.18.64/26 доступны, 192.168.23.10 - 192.168.23.9 нет. Связь же должна пропасть или не прав? Получается трафик 192.168.17.0/24 - 10.17.18.64/26 не шифруется? Как шифровать трафик в канале провайдера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 15 июля, 2016 (изменено) · Жалоба Получается трафик 192.168.17.0/24 - 10.17.18.64/26 не шифруется? Хотите просто зашифровать туннель - для RouterOS выше 6.30 есть настройка IPSEC непосредственно в настройках туннеля. Просто добавьте свойство "ipsec-secret=ключ" к свойствам ipip туннеля. Изменено 15 июля, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexey_G Опубликовано 15 июля, 2016 · Жалоба Получается трафик 192.168.17.0/24 - 10.17.18.64/26 не шифруется? Хотите просто зашифровать туннель - для RouterOS выше 6.30 есть настройка IPSEC непосредственно в настройках туннеля. Просто добавьте свойство "ipsec-secret=ключ" к свойствам ipip туннеля. Да, хочу шифровать туннель. Но при попытке создания туннеля с ipsec-secret - ошибка: /interface ipip add local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6 ipsec-secret=123 cannot enable fastpath together with ipsec yet Пробовал отключить fastpath в /ip settings - не помогло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 16 июля, 2016 (изменено) · Жалоба Alexey_G, цитата из вики: "eoip, gre, ipip interfaces (since 6.33). Eoip, gre, ipip interfaces have per interface setting "allow-fast-path". ..." То есть, вам надо явно указать для IPIP-туннеля еще один параметр параметр "allow-fast-path=no" Например: /interface ipip add allow-fast-path=no ipsec-secret=123 local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6 Изменено 16 июля, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 16 июля, 2016 (изменено) · Жалоба Alexey_G, вопрос по архитектуре сети - если у Вас есть VLAN от провайдера, зачем вы еще внутрь его тоннель прокидываете? Не проще ли сразу трафик между подключенными к VLAN интерфейсами шифровать, не заморачиваясь инкапсуляцией? А то ресурсы теряете, MTU понижаете, конфиг усложняете. Изменено 16 июля, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexey_G Опубликовано 16 июля, 2016 · Жалоба Alexey_G, цитата из вики: Например: /interface ipip add allow-fast-path=no ipsec-secret=123 local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6 Спасибо, так заработало Alexey_G, вопрос по архитектуре сети - если у Вас есть VLAN от провайдера, зачем вы еще внутрь его тоннель прокидываете? Не проще ли сразу трафик между подключенными к VLAN интерфейсами шифровать, не заморачиваясь инкапсуляцией? А то ресурсы теряете, MTU понижаете, конфиг усложняете. Сетей за MT1 и MT2 много, если в туннельном режме настраивать, то правила для каждого пересечения сетей прописывать или можно одним policy обойтись? Вроде такого: /ip ipsec policy add src-address=192.168.0.0/26 dst-address=192.168.0.0/26 action=encrypt tunnel=yes sa-src-address=192.168.23.5 sa-dst-address=192.168.23.6 А так, конечно не хочется производительность снижать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 16 июля, 2016 (изменено) · Жалоба Alexey_G, если у вас точек подключения к VLAN больше двух, то правила всё равно придется писать отдельно, т.к. для каждого конца IPSEC-соединения нужно использовать свой "sa-dst-address", вот как у Вас "... sa-dst-address=192.168.23.6" А если только два, MT1 и MT2, тогда можно агрегировать подсети в одно правило. Изменено 16 июля, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexey_G Опубликовано 17 июля, 2016 (изменено) · Жалоба Сами MT соеденены одним каналом. При туннельном режиме придется вообще в правилах прописать 0.0.0.0/0, т.к. весь трафик с MT2 будет проходить через MT1. Попробую в обоих режимах настроить и протестировать. Насколько я понял, если в src-address/dst-address прописать 0.0.0.0/0, то весь трафик, подпадающий под это условие уйдет в IPSec туннель, вне зависимости от настроек маршрутизации? Если так, то мне только транспортный режим подходит. Кстати, нашел почему не работала первоначальная конфигурация: /ip ipsec policy add dst-address=192.168.23.10/32 sa-dst-address=192.168.23.10 sa-src-address=192.168.23.9 src-address=192.168.23.9/32 Т.е. IPSec внутри туннеля, а надо снаружи: /ip ipsec policy add dst-address=192.168.23.5/32 sa-dst-address=192.168.23.5 sa-src-address=192.168.23.6 src-address=192.168.23.6/32 Изменено 17 июля, 2016 пользователем Alexey_G Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...